美国国家公共数据(National Public Data,NPD)遭到攻击,导致 29 亿条个人隐私数据泄露,这也是仅次于 2013 年雅虎事件(影响 30亿)的数据泄露事件(注:NPD 是 Jerico Pictures 旗下的犯罪记录和背景调查服务,数据来源于联邦、州和地方政府等公共文件,主要是用于背调等方面的用途)。
今年 4 月,黑客集团 USDoD 最初试图以 350 万美元(IT之家备注:当前约 2508.9 万元人民币)的价格挂牌兜售这些宝贵的数据(含美国、英国、加拿大多方文件),NPD 当时并未发表回应。
十天前,一位自称“Fenice”的黑客由于某种原因直接在 BreachForums 上免费放出了大部分数据(约 27 亿条),其中包括 2.27 亿个(美国现人口约 3.36 亿)社会安全号码(可以理解为美国人的身份证)。
实测发现,这部分数据有部分是真的,也有部分是假的(或者说是过时的)。其中,“Have I Been Pwned”(HIBP)开发者兼维护者特洛伊・亨特(Troy Hunt)证实他被泄露的数据是真的,而且他分析的一个 NPD 泄露数据库版本中包含了 1.34 亿个不重复的电子邮件地址,表明至少有上亿人受影响。
8 月 14 日,National Public Data 发布声明,证实该公司发生了“数据安全事件”,包括姓名、电子邮件地址、电话号码、社会安全号码和快递收货地址均已被泄露。
NPD 表示正与执法部门和政府调查人员合作审查可能受影响的数据,如果有进一步的重大进展将尝试通知当事人。此外,该公司已经实施额外的安全保护措施以避免此类事件再次发生。
不过,NPD报告中的措辞十分含糊。该公司表示,有坏人“试图在 2023 年 12 月底入侵数据”,并且“某些数据的潜在泄露”发生在 2024 年 4 月和 2024 年夏季,这表明黑客已成功渗透其系统。
NPD 还表示,发布这一通知是为了让那些可能受到影响的人尽快采取行动,并建议用户尽快检查其银行账户是否存在欺诈交易,并鼓励他们设置欺诈警报。
目前,已经有大量网友在社交平台上晒出了自己“中枪”的悲惨遭遇,例如下面这两位。
与此同时,大量相关安全公司也已经开始行动起来,例如迈克菲(McAfee)。
值得一提的是,NPD 已经在面临一项拟议的集体诉讼,原告克里斯托弗・霍夫曼(Christopher Hofmann)指控 National Public Data 违反信托责任和第三方受益人合同、疏忽和不当得利,并要求经济赔偿在内的一系列要求。他还要求该公司扫描数据库,引进安全威胁管理系统,分割数据,并聘请第三方机构在未来 10 年内每年对公司的网络安全框架进行一次评估。